GCE上實作Bastion Gateway的HA架構

作者: -

概念

NAT(或稱Bastion主機)的架構在自建機房中常常可以見到,我們也可以將該架構在雲端環境上建置來使用... 而Google雲端的環境中,可以透過network與routing的方式搭配來建置一個具有HA(High Availability)的NAT環境,讓NAT不是單點提供服務... 下面是架構的簡單描述:




建置過程

設定網路與防火牆基本規則

首先,建議使用自建Network,好處是可以自訂內部的路由與相關防火牆規則,且可以避免影響其他主機。


gcloud compute networks create kankan-ha-nat \
    --mode legacy \
    --range 10.10.10.0/24

   

為了可以測試狀態,我們允許port 22的ssh連線,因此建立允許 tcp 22 port 連線的防火牆規則...


gcloud compute firewall-rules create kankan-ha-nat-allow-ssh \
--allow tcp:22 --network kankan-ha-nat


在NAT server的建置上,我們需要讓內外部連線可以透通,因此將tcp:1-65535, udp:1-65535, icmp等協定打開,讓內部的網段(10.10.10.0/24)可以透過NAT server來連線外部網路。


gcloud compute firewall-rules create kankan-ha-nat-allow-internal \
--allow tcp:1-65535,udp:1-65535,icmp \
--source-ranges 10.10.10.0/24 --network kankan-ha-nat


建立NAT server

然後我們將NAT server建立起來:


gcloud compute instances create nat-gateway-asia-east1-a --network kankan-ha-nat --can-ip-forward \
--zone asia-east1-a \
--image-family debian-8 \
--image-project debian-cloud \
--tags nat


為了實現NAT的HA可能性,我們需要另外建立一台NAT server,可以讓NAT server異常時候,有另外一台NAT server可以提供路由服務... 下面是用同樣的設定在創建一台NAT server,但是我們選擇不同的zone,讓multi zone提供更高可用性...


gcloud compute instances create nat-gateway-asia-east1-c --network kankan-ha-nat --can-ip-forward \
--zone asia-east1-c \
--image-family debian-8 \
--image-project debian-cloud \
--tags nat


附註:上面NAT主機建立的過程中,必需要開啟network中的"can-ip-forward"參數,開啟後該主機才能夠提供路由之功能...


建立測試主機與連線環境

接下來建立內部服務主機,也就是我們想藏在NAT Gateway後面的重要機器,該主機會具備一個"no-ip"標籤,該標籤主要會結後後面建立的路由規則,讓路由經過指定的NAT主機...


gcloud compute instances create no-ip-instance --network kankan-ha-nat --no-address \
--zone asia-east1-a \
--image-family debian-8 \
--image-project debian-cloud \
--tags no-ip


為了方便測試,我們另外建立測試時使用的 jumper 主機,當作跳到內部主機的跳板...,該主機必須與內部主機在同一個network下面...


gcloud compute instances create kankan-jumper --network kankan-ha-nat \
--zone asia-east1-b \
--image-family debian-8 \
--image-project debian-cloud


設定NAT主機之路由

接下來需要準備NAT主機的路由,指定所有"no-ip"的主機可以走該路由進出internet...


gcloud compute routes create no-ip-internet-route-a --network kankan-ha-nat \
--destination-range 0.0.0.0/0 \
--next-hop-instance nat-gateway-asia-east1-a \
--next-hop-instance-zone asia-east1-a \
--tags no-ip --priority 800


我們也需要針對第二台NAT主機建立同樣的路由...


gcloud compute routes create no-ip-internet-route-c --network kankan-ha-nat \
--destination-range 0.0.0.0/0 \
--next-hop-instance nat-gateway-asia-east1-c \
--next-hop-instance-zone asia-east1-c \
--tags no-ip --priority 800


當兩個路由同時存在時,只要該路由可運作,則內部主機之網路會由可運作的路由提供網路,如果整在使用的 NAT server 異常或關機,則GCE會自動使用另一台 NAT server 主機提供服務。


設定NAT主機

NAT主機需要進行一些路由forward的設定,我們需要連線進入所建立的NAT主機上進行設定:


gcloud compute ssh nat-gateway-asia-east1-a --zone asia-east1-a
gcloud compute ssh nat-gateway-asia-east1-c --zone asia-east1-c


設定的內容如下:


sudo vi /etc/rc.local
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


其中net.ipv4.ip_forward=1是啟動主機內 ip forward 的功能,iptables的那段則是啟用封包forward到eth0網卡的功能... 這些設定寫到 "/etc/rc.local" 則可以讓主機再重新開機後可以自動起來...


測試

最後我們可以透過 jumper server 做跳板,再 ssh 連線進到 no-ip-instance 主機中,然後 ping 外部的 ip ...


gcloud compute ssh kankan-jumper --zone asia-east1-b
ssh no-ip-instance
ping 8.8.8.8


只要上面 ping 8.8.8.8 有實際成功,則我們可以測試輪流關閉(只保留一台NAT主機)時,內部這台主機的ping運作狀況...


參考





作者:KanKan

這個網誌中的熱門文章

[how-to] 在 GCP 上設定 HTTPS Load Balancer

作者: -
圖片
GCP 推出 HTTP Load Balancer 也已經一陣子了,其中類似 anycast 的特性讓後端的 backend server 可以跨不同 region 之外,也可以根據流量的來源跑到最適合的 backend group 上。

但是好用的東西總是缺一味,就是 SSL 的支援。Google 雖然有實作了 HTTPS Load Balancer 但一直都在 alpha stage,僅開放邀請測試,所以也都是一整個看的到吃不到的情況 ..

日前終於收到 Google 的邀請,終於來試看看到底怎麼設定 HTTPS Load Balancer .. 其實非常簡單 .....


首先請選擇 HTTP Load Balancing 功能,選擇 New load balancer,輸入名稱


完成輸入之後,我們來增加新的 forwarding rule


重點在這裡,如果您的帳號/專案有被加入到這個功能的白名單 (whitelisted) 內,你就可以在 Protocol 那邊看到「HTTPS」,而當你選擇「HTTPS」後,你會看到下方多了一個「Certificate」的下拉式選單,然後選擇「Create a new certificate」


這邊就是新增憑證資訊的頁面,你可以選擇上傳或是貼上憑證的內容。
其中「Public key certificate」是 CA 所簽發給你的憑證,Certificate chain 就是 CA 給你的中繼憑證 (Intermediate certificate),然後 Private Key 不意外的就是貼入你申請這個憑證所使用的私鑰。

一旦你的填入憑證是有效的,右方將會出現這個憑證的相關資訊,例如 hostname,有效期限 ... 等等。


 建立完 forwarding rule 之後,這個 Load Balancer 就完成一半了!這時候你可以直接點那個連結,或是用 curl 檢查 SSL 是否順利掛上你剛剛上傳的憑證。

但因為你現在是用 IP 連,如果用 chrome 連線會得到憑證無效的訊息,因為 IP 跟 hostname 對不上的關係。


或是你也可以進到 advanced view,看剛剛建立的 lb 跟 forwarding rules



您也可以到 Certificate 頁籤看看剛剛上傳的憑證相關資訊


接下來 HTT…
閱讀完整內容

Google Cloud Launch 的 Percona 服務介紹

作者: -
圖片
Database一直是每一項服務需要特別花心思的地方,通常將資料庫服務委託給Google CloudSQL是最簡單不過的,不過,如果希望能夠保有對資料庫的完整操控權,則自建Database是最快的選擇... 而Google Cloud Launcher服務即有DB Cluster的建置,在此以Percona Cluster為例,透過Cloud Launcher簡單的建置Percona MySQL Cluster…
Percona是分支自MySQL的資料庫,相較於原生MySQL,Percona原生提供了更多的資料庫工具,讓使用者可以更快速的建置自己的MySQL應用...
首先,我們先到Cloud Lancher ( https://console.cloud.google.com/launcher ) 搜尋”Percona”關鍵字,然後進入Percona的說明頁面之後點選LAUNCH ON COMPUTE ENGINE...
依照GCP上的建議,Percona Cluster 預設啟動的機器不能小於三台,我們可以指定資料庫的zone位置,也可以依照需求指定更多的主機數量... 選好機器的zone和數量後,只要點選Deploy,就可以開始進入開通cluster的動作...




建立完成後可以在”Deployment Manager”裡,看到您剛剛建立的Percona,裡面會有每一台機器的說明、DB的password、相關說明文件等資料

由於Cloud Launcher是以Appliance的方式提供服務,也就是會使用Compute Engine來建置,因此我們會看到剛剛所開立起來的三台機器...


在Percona的Cluster機制下,所有的主機都是可以讀寫的狀態... 因此,接下來我們可以使用SSH進入機器內檢視,登入後,執行mysql指令連線所建立的資料庫,若執行成功就能開始使用...

為了求證cluster的運作,以下進行幾個簡單測試..
1.每一台DB資料是否會同步? 答案是會~ 在第一台建立一個Database,其他二台會自動sync,如附圖
閱讀完整內容